Der Shopsystem-Anbieter Shopify gerät ins Visier von Datenschützern. Erst kürzlich erklärte die Landesdatenschutzbehörde Rheinland-Pfalz eine in Shopify integrierte Funktion für rechtswidrig.

Die E-Commerce Software Shopify ist beliebt wie nie. Im Juni 2022 existierten auf dem Portal rund 26.000 Domains von ca. 17.500 verschiedenen Händlern. Doch das könnte sich bald ändern. Jetzt schlägt ein interessanter Fall hohe Wellen. Ein Händler aus Rheinland-Pfalz erhielt Post von der rheinland-pfälzischen Datenschutzbehörde. Der Vorwurf: Der Händler soll Nutzungsdaten unberechtigterweise an US-amerikanische Diensteanbieter übermittelt haben.

Was ist Shopify genau?

Bei Shopify handelt es sich um eine cloudbasierte E-Commerce-Software eines gleichnamigen, kanadischen Software-Unternehmens. Das System stellt Händlern abnahmefähige Onlineshop-Auftritte bereit und ist aufgrund seiner Benutzerfreundlichkeit beliebt. Mit rund 17.500 Händlern in 175 Ländern – darunter auch bekannte Marken wie Red Bull und Tesla – ist Shopify das weltweit führende, cloudbasierte Shopsystem. Für einige Funktionen greift die Software auf Dienste von Drittanbietern zurück, welche nativ in das System integriert sind. Genau dieser Umstand wurde einem deutschen Händler jetzt zum Verhängnis.

Das ist passiert

Christian Häfner betreibt seit über 7 Jahren einen Kaffee-Onlinehandel. Um seinen zwischenzeitlich siebenstelligen Umsatz zu generieren, nutzte Häfner bis Juni 2022 auch die Shopify-Software. Das System sei das innovativste Shop-System mit der besten User-Experience, so der Unternehmer. Doch damit ist jetzt Schluss. Häfner erhielt eine Beschwerde von der Landesdatenschutzbehörde Rheinland-Pfalz. Er soll über seine Webseite Daten seiner Nutzer an US-amerikanische Dienstleister übermittelt haben. Die Verwendung der dafür notwendigen Netzwerke namens CDN Fastly und Cloudflare seien rechtswidrig, heißt es.

Auch weitere Dienste betroffen

Häfner behob das Problem, das mit einem Consent-Banner zu tun hatte, und nutzte fortan andere Netzwerke. Ohne Erfolg. Erneut erhielt der Unternehmen ein Schreiben der Datenschutzbehörde. Dieses Mal wurde die Verwendung der Anwendung Localstorage und verschiedene Third Party Requests bemängelt. In einem weiteren Brief erhielt Häfner dann eine Strafandrohung.

Keine Unterstützung von Shopify

In seiner Not kontaktierte der Unternehmen den Support von Shopify. Dieser konnte bzw. wollte das Problem jedoch nicht lösen. „Es gab zu keinem Zeitpunkt Bemühungen von Shopify, mit der Behörde Kontakt aufzunehmen“, sagt Häfner. Auch ein eigener, externer Datenschutzbeauftragter konnte das Problem nicht aus der Welt schaffen. Schließlich sah sich der Händler genötigt, ein neues Shopsystem zu verwenden.

Reaktion von Shopify verwundert

Shopify selbst reagierte auf den Vorfall erst, als dieser international in verschiedenen Händler-Foren diskutiert wurde. Man hätte klarer kommunizieren müssen, dass Shopify in Deutschland völlig legal sei, schrieb CEO Tobi Lütke auf Twitter. Allerdings bemängelte Lütke, der Händler habe mit seiner Veröffentlichung des Vorfalls unverhältnismäßig viel Verunsicherung gestreut. Ein Vorwurf, den Häfner so nicht akzeptiert: „Ich fühle mich von Shopify im Stich gelassen“.

Unsicherheit für andere Händler bleibt

Der Vorfall ist für andere Onlinehändler relevant. Auch wenn sich auf höherer politischer Ebene Datenschützer der EU und der USA um eine Lösung des Sachverhaltes bemühen, wissen viele Unternehmer nicht, wie sie mit US-Dienstleistern DSGVO-konform umzugehen haben. Allerdings sind bisher keine weiteren Fälle bekannt, in denen Shopify-Kunden eine ähnliche Beschwerde wie die von Christian Häfner erhalten haben.